自由席に縁がないので(^^;; ちゃんと？のぞみに乗りました。めずらしく窓側。

というわけで、講習二日目も無事終了。 本日投入された巷で噂の謎の例のツールですが、何故か Windows 2000 SP4 上では入力した文字がアレだった*1という噂がありますが、検索対象となるエンコードがいろいろあることはなんとなく理解していただけたのかなぁ…

wiconv なお話の続き。謎の怪人M・・・ではなくオプション-mが登場？！ 大阪へ来る新幹線の中では、U+2764 とか U+2661、U+2665 辺りをメール*1では検索しないといけない？とかいうネタを調べてました(笑) 文字コードの変換(まだ続いてます) http://d.hatena…

初日のペースが少しゆっくりだった気がする、そんなに無駄話しをしてたかな？(^^;; 今日は（も）朝から dd→nc→autopsy の実習*1なので少しペースをあげていこう！ *1:WindowsのコースなのにLinuxを使っている罠

こちらのセンター*1では2回目の実施となる『不正アクセス調査技法』の初日です。 明日の実習では umq さん作のツールを投入予定。temp に置かれた怪しいツールは紹介だけですが、UTF-8 対応待ちのツールは使います。＞多謝 *1:http://www.ehdo.go.jp/osaka/p…

宿泊施設*1へ到着。 7時ちょい過ぎに新大阪へ到着しました。豊橋すぎたところでノートPCのバッテリが無くなりました(T_T) こだま だと各駅で電波が拾えて嬉しいのですが、バッテリが持たない罠。 っていうか、sonodam さんに言われて今頃気がつく＞423号 帰…

おなかがへったんですけど＿|￣|○ こだまってひょっとしてすごい遅いのかな？

でまったり移動中。何時に着くんだ？＞新大阪

また台風きてる＿|￣|○ 新幹線止まったりしないよねぇ・・・ 文字コード本は重いので置いていく予定です（笑）

土曜日の朝から文字コードネタ（笑） id:hasegawayosuke さんが wiconv*1というツールを公開されました。Windows 上で動く iconv のようなものでしょうかね？、文字列を16進数で表示することが可能ですから文字列検索用にぜひ（笑） 文字コードの変換(まだ続…

kjm 先生のところ*1から引用。 「EnCase サァァァァチッ!」 今度から、検索するときはこの掛け声にしよう（嘘） 盛り上がって？ますので、がんばってください！！＞id:kurihiroshi 先生 *1:http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/08.html#2…

メールアーカイブの検索ともなれば、文字コードが重要なポイントになるのではないかと思いますが、Network Forensics 方面ではその辺りどうなんでしょ？（というのは明日の質問だったりもする） 全文検索もねぇ・・・マッチしなかった場合、本当にマッチしな…

追いかけるの大変ですけど、とりあえずメモ。手元にあるフグ本は古いほうなので新しいのを買わないと？ メモ: CP20932 と CP51932 の件、続き http://blogs.sqlpassj.org/yamaken/archive/2004/08/27/3908.aspxNLS って難しい(B) http://slashdot.jp/journal…

正しく理解できてないかもしれませんが、『〜』という文字を Unicode から CP20932 へ変換すると変換がエラーになるそうです。（逆方向は問題なし） へぇエラーになるんだぁ・・・ですまそうと思ったのですが、よく考えると検索をミスる危険性があるんですか…

朝から文字コード超研究(ASIN:4899770510)を読んで勉強しているのですが、某漫画の主人公なら、文字コードでこんなに悩まないんだろうなぁ（笑）

正解は CP 51932。 IE のエンコード 日本語(EUC) では 51932 が利用されている。

strings コマンドがセクタを跨って文字列を抽出する場合、それらのセクタがひとつのファイルへ割り当てられた領域であれば問題ありません。この図では、ファイルに対して1クラスタ（2セクタ）*1が割り当てられており、セクタを跨って『TEST』という文字列が…

別に戦う必要はないわけですが、ローマ数字の１(小）は異なるようですね。 20932 \xF3\x21 51932 \xFC\xF1 まぁ、この文字が一般的に使われているか？っていうと謎ですが。

umq さんからのお手紙に今頃気がつく。ありがとうごぜぇますだm(_ _)m さっそく変換だぁ！ 『〜』を convert させると 20932 では16進が表示されないのは存在しないからでつか？ あわせて以下参照。 NLS って難しい(9) http://slashdot.jp/journal.pl?op=dis…

CP 20932 は以下のコードページの集合セット。 50220 ISO 2022 Japanese with no halfwidth Katakana 50221 ISO 2022 Japanese with halfwidth Katakana 50222 ISO 2022 Japanese JIS X 0201-1989 CP20932 は MS 版“日本語EUC”ではない。 EnCase でこのコー…

ファイル（データ）が連続したセクタへ記録されていない場合、文字列が抽出されないケースがあります。スライドの図では、ファイルに含まれるデータとして『TEST』が存在していますが、クラスタが連続していないため、strings コマンドは『TE』と『ST』とい…

未使用領域に限ったお話ではありませんが、セクタを跨って“たまたま”文字列が構成されてしまうケースもあります。*1 この図では、Slack space の最後に『TE』という文字列が存在しています。次のセクタの先頭が『ST』という文字列だった場合、『TEST』という…

まだ Web の表示を更新していませんが、文字列抽出に関する簡単な PPT 資料を一本追加。 Autopsy の HELP にある『grep Search Limitations』を参考に図にしただけです。 http://www.port139.co.jp/forensics/dd-strings.ppt dd コマンドで作成したファイル…

yoggy さんの罠*1にはまり朝から遊んでしまう＿|￣|○ 面白い！ってそいうことではなくて・・・ *1:http://www12.plala.or.jp/nextframe/flash/bs.html

なんか根本的に考えが間違っていた気がする。 『grep Search Limitations』をよく読まないと・・・＿|￣|○ Autopsy 『grep Search Limitations』より引用ここから[ What Will Be Found strings is first run on the image and the data is passed to grep to…

第二回の参加者募集を開始だそうです。Tor が題材ということです。 勉強会: SecuLog Reading Room 2nd. 参加希望者募集のお知らせ http://www.7th-angel.net/seculog/item/871.html あぁ！英語のメールに返事出すの忘れてた＿|￣|○

bun 氏にコメントで教えていただく。ありがとうございますm(_ _)m ちなみに私はシングル クオテーションで入力してしまいましたが、『バッククオートです。』ということで＞皆さん bun 『grep `echo -e ”￥xa4￥xdb￥xa4￥xb2”` hoge.txt ってできません？』…

オラクル主催のセミナーが9月1日にあるのを発見！ 情報漏洩追跡セミナー / データベース・フォレンジック 2004年9月1日（水） 13:30〜17:00（受付開始 13:00〜） http://www.oracle.co.jp/events/tk040901/ データベースの調査って大変そうですねぇ（他人事…

例えば『秘密情報』という文字列が未割り当て領域*1に存在しないか検索したいとします。この文字列の文字コードに何が使われているのかは特定できないので、Shift_JIS・EUC-JP・ISO-2022-JP・UTF-8 など文字コード毎に検索してみることになります。しかし、…